APT,即Advanced Persistent Threat,又稱高級(jí)威脅,從誕生之初,APT就具有明顯的政治意圖——攻擊者通過一系列高級(jí)程序、復(fù)雜手段,對(duì)政府組織或重要部門等進(jìn)行長(zhǎng)期、隱藏監(jiān)測(cè),以竊取敏感信息,擾亂國(guó)家或行業(yè)秩序,使其在長(zhǎng)期發(fā)展、重大國(guó)家性活動(dòng)中失利等。通常,APT不直接針對(duì)普通公民,但并不是說它不會(huì)對(duì)我們?cè)斐晌:Α?ò退够蜓芯亢头治鰣F(tuán)隊(duì)(GReAT)日前為我們總結(jié)了普通人遭遇APT攻擊的三種場(chǎng)景。
場(chǎng)景1:在錯(cuò)誤的時(shí)間訪問了錯(cuò)誤的網(wǎng)站
與小型惡意行為者相比,APT組織有足夠的資金來進(jìn)行一系列0day漏洞利用,包括有能力組織遠(yuǎn)程水坑攻擊。谷歌Project Zero團(tuán)隊(duì)在2019年的研究中發(fā)現(xiàn),一名惡意行為者為了用間諜軟件感染目標(biāo),在5個(gè)不同的漏洞利用鏈中使用了多達(dá)14個(gè)不同的漏洞。
其中一些漏洞被用來遠(yuǎn)程感染訪問特定政治相關(guān)網(wǎng)站的iOS用戶,并在他們的手機(jī)上安裝間諜軟件。問題是,攻擊者并沒有區(qū)分網(wǎng)站訪客,這就意味著訪問該網(wǎng)站的所有iOS用戶都會(huì)被感染,不管他們是不是攻擊目標(biāo)。
而這并非APT組織唯一一次采取水坑攻擊。例如,在NotPetya(又名ExPetr)的攻擊媒介中,就選擇以感染政府網(wǎng)站作為起點(diǎn),當(dāng)用戶訪問網(wǎng)站時(shí),就會(huì)自動(dòng)下載惡意軟件并在受害者電腦上執(zhí)行。
因此,對(duì)于普通人來說,APT的問題在于,哪怕攻擊者無意專門針對(duì)你,但只要碰巧訪問了被攻擊的網(wǎng)站或下載了被攻擊的應(yīng)用程序,普通人就會(huì)被感染。而且,在與APT組織相關(guān)的勒索軟件案例中(例如NotPetya),他們還能夠完全掌握普通人設(shè)備上的隱私數(shù)據(jù),并肆意破壞。
場(chǎng)景2:網(wǎng)絡(luò)犯罪分子手中的“危險(xiǎn)玩具”
除了對(duì)外攻擊,APT組織間也經(jīng)常窺探彼此的秘密,他們會(huì)互相攻擊,有時(shí)還會(huì)泄漏對(duì)方使用的工具。其他更小型或技術(shù)略遜的惡意行為者就會(huì)順勢(shì)“撿工具”,并利用它們來創(chuàng)建自己的惡意軟件,導(dǎo)致事情走向失控的局面。例如,WannaCry就是攻擊者使用EternalBlue(永恒之藍(lán))創(chuàng)建的,而后者正是ShadowBrokers在決定公開方程式組織的網(wǎng)絡(luò)武器庫時(shí)泄漏的一個(gè)漏洞。
除此之外,NotPetya/ExPetr、Bad Rabbit(壞兔子)、EternalRocks(永恒之石)等很多威脅,也都是依賴“永恒之藍(lán)”漏洞創(chuàng)建的。
泄露一個(gè)漏洞往往會(huì)導(dǎo)致一系列大大小小的連鎖反應(yīng),最終影響數(shù)千萬臺(tái)電腦,擾亂世界各地企業(yè)和政府機(jī)構(gòu)的正常運(yùn)行。對(duì)于普通人來說,APT所帶來的第二種間接傷害是,攻擊者創(chuàng)建了非常危險(xiǎn)的工具,但有時(shí)又無法遏制它們被肆意濫用。結(jié)果,這些危險(xiǎn)工具落入網(wǎng)絡(luò)犯罪分子手中,他們肆無忌憚地使用這些工具時(shí),會(huì)傷及許多無辜的人。
場(chǎng)景3:收集的數(shù)據(jù)發(fā)生泄露
正如上文所述,APT背后惡意行為者有互相攻擊的傾向,有時(shí)他們不僅會(huì)公開自己掠奪來的工具,還會(huì)公布對(duì)方使用這些工具所獲取的任何信息。例如,網(wǎng)絡(luò)間諜工具ZooPark所收集數(shù)據(jù)就是這樣被公開的。
在過去兩年中,多達(dá)13家跟蹤軟件供應(yīng)商要么遭到黑客攻擊,要么將他們收集的信息在線暴露于未受保護(hù)、公開可用的Web服務(wù)器上。就算是再厲害的威脅行為者,也無法免受數(shù)據(jù)泄漏的影響。例如,F(xiàn)inFisher開發(fā)者曾遭黑客入侵,開發(fā)監(jiān)視工具的Hacking Team也同樣被黑過等。
所以,APT影響普通人的第三種場(chǎng)景是,即便APT與普通用戶毫無瓜葛,即便他們只是收集普通用戶信息,從未考慮過使用這些信息來攻擊普通用戶,只要APT數(shù)據(jù)被泄漏,“小魚小蝦們”就會(huì)利用泄露信息,搜尋個(gè)人隱私數(shù)據(jù),例如信用卡號(hào)、工作文檔、聯(lián)系人和照片等信息,并對(duì)普通用戶進(jìn)行敲詐勒索。
如何免遭APT誤傷
雖然APT比普通惡意軟件要復(fù)雜得多,但用于常見威脅的防護(hù)技巧同樣適用APT防范。
例如:
禁止安裝來自第三方的應(yīng)用程序,即使因某種需要不得不安裝應(yīng)用程序,也請(qǐng)?jiān)凇皟H允許本次”之后,立即恢復(fù)原本的禁止設(shè)置;
定期檢查設(shè)備上安裝的應(yīng)用程序權(quán)限,并及時(shí)撤銷對(duì)該應(yīng)用程序來說不必要的權(quán)限。最好在安裝應(yīng)用程序之前,就檢查它的權(quán)限列表;
避免訪問任何可疑的網(wǎng)站和點(diǎn)擊無法完全信任來源的鏈接,陌生人通常不會(huì)出于好意發(fā)送鏈接或應(yīng)用程序;
使用可靠的安全解決方案,掃描設(shè)備上即將下載或安裝的所有程序,并檢測(cè)所有鏈接和安裝包。請(qǐng)務(wù)必將其視為最后一道防線,因?yàn)榧词共环ǚ肿永寐┒辞秩肫胀ㄈ说脑O(shè)備,安全解決方案依然能夠起到保護(hù)作用。